溯源其实类似求解一道数学题:已知攻击者IP,得出攻击者身份?
本次分享某HW中比较经典的溯源成功案例之一,以往的溯源过于对蜜罐依赖。而反制又主要以控制跳板机为主,缺少对跳板机幕后真正黑客身份的追踪,这篇溯源案例中不仅控制了跳板机的权限还成功的锁定了真正发起攻击的黑客身份。
1.由安全设备监控到黑客攻击事件,攻击源IP为54.XX.XX.11(美国)对我方资产进行目录探测和命令执行攻击,其中存在执行不落地http://54.XX.XX.11/t2w4oa.txt文件。
图1 攻击日志
图2 攻击日志
2.对此url进行访问,火绒直接报毒,对该木马文件进行下载分析,确认为恶意木马。经沙箱运行该木马文件后发现会对外进行连接185.XXX.XXX.153地址。
图3 木马文件分析
图4 木马文件分析
图5 木马文件分析
3.通过对木马连接地址185.XX.XX.153IP进行信息搜索发现该IP为github节点。该IP未能发现其它有用信息,针对该IP可溯源暂且告一段落。
图6 IP信息搜集
4.反过头继续对攻击源IP 54.XX.XX.11进行信息搜集,发现该IP存在web服务,并在登录处通过逻辑漏洞成功登录到该网站。
图7 登录网站
5.在对该网站进行信息搜集时发现该网站使用了Liferay 6.2。对该CMS熟悉的话知道在6.2中存在RCE漏洞,可直接进行反弹shell。
图8 网站指纹信息
图9 远程命令执行
6.通过远程命令执行漏洞直接获取到root权限,并在定时任务中发现后门(域名eXXXh.in)地址。
图10 定时任务后门
7.通过nslookup解析发现,该域名与之前木马连接的IP 185.XX.XX.153一致,由此可以确定该IP为本次攻击的真正发起者。
图11 nslookup域名解析
8.通过访问域名发现此域名一印度黑客博客,目前还是一名学生。通过继续深挖可以得到其他注册网站的信息。
图12 博客展示
图13 Twitter展示
图14 youtobe展示
图15 github展示
9.逻辑清晰,证据确凿,整理文档,提交报告……
满纸荒唐言,一把辛酸泪。都云作者痴,谁解其中味?
——《红楼梦.满纸荒唐言》
欢迎关注以下公众号!
原文始发于微信公众号(虫子安全):国外某黑客成功溯源案例
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论